Neue Features in XenMobile Server 10.11

Wichtig:

Vorbereitung von Geräteupgrades auf iOS 12+: Der Verbindungstyp “Citrix VPN” in der VPN-Geräterichtlinie für iOS unterstützt iOS 12+ nicht. Löschen Sie Ihre VPN-Geräterichtlinie und erstellen Sie eine neue mit dem Verbindungstyp “Citrix SSO”.

Die Citrix VPN-Verbindung funktioniert bei zuvor bereitgestellten Geräten nach dem Löschen der VPN-Geräterichtlinie weiterhin. Die neue Konfiguration der VPN-Geräterichtlinie wird bei der Benutzerregistrierung in XenMobile Server 10.11 wirksam.

Unterstützung für iOS 13

XenMobile Server unterstützt Geräte, die auf iOS 13 aktualisiert wurden. Das Upgrade hat folgende Auswirkungen für Ihre Benutzer:

  • Während der Registrierung werden im iOS-Setupassistant einige neue Optionsfenster angezeigt. Apple hat den iOS-Setupassistant für iOS 13 um neue Optionsfenster erweitert. Die neuen Optionen sind nicht auf der Seite Einstellungen > Apple Device Enrollment Program (DEP) in dieser Version enthalten. Daher können Sie diese Bildschirme in XenMobile Server nicht überspringen. Die Seiten werden Benutzern auf iOS 13-Geräten angezeigt.

  • Einige Einstellungen der Einschränkungsrichtlinie, die in iOS-Vorgängerversionen auf betreuten oder nicht betreuten Geräten verfügbar waren, sind für iOS 13+ nur auf betreuten Geräten verfügbar. Die aktuellen QuickInfos der XenMobile Server-Konsole zeigen bislang nicht an, dass diese Einstellungen nur für betreute Geräte mit iOS 13+ gelten.

    • Hardwaresteuerelemente zulassen:
      • FaceTime
      • Installieren von Apps
    • Apps zulassen:
      • iTunes Store
      • Safari
      • Safari > automatisch ausfüllen
    • Netzwerk - iCloud-Aktionen zulassen:
      • iCloud-Dokumente & -Daten
    • Einstellungen nur für Betreute Geräte - Zulassen:
      • Game Center > Freunde hinzufügen
      • Game Center > Multiplayerspiele
    • Medieninhalte - Zulassen:
      • Anstößige Musik, Podcasts und iTunes U-Inhalte

Diese Einschränkungen gelten wie folgt:

  • Wenn ein Gerät mit iOS 12 (oder niedriger), das bereits bei XenMobile Server registriert ist, auf iOS 13 aktualisiert wird, werden keine Änderungen vorgenommen. Die vorherigen Einstellungen gelten weiterhin für das Gerät.
  • Wenn sich ein nicht betreutes Gerät mit iOS 13+ bei XenMobile Server registriert, gelten die vorherigen Einstellungen nicht für das Gerät.
  • Wenn sich ein betreutes Geräte mit iOS 13+ bei XenMobile Server registriert, gelten die vorherigen Einstellungen für das Gerät.

Anforderungen für vertrauenswürdige Zertifikate in iOS 13 und macOS 15

Apple hat neue Anforderungen für TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den neuen Apple-Anforderungen entsprechen. Siehe die Apple-Publikation: https://support.apple.com/en-us/HT210176. Hilfe zum Verwalten von Zertifikaten finden Sie unter Hochladen von Zertifikaten in XenMobile.

Upgrade von GCM auf FCM

Seit dem 10. April 2018 ist Google Cloud Messaging (GCM) veraltet. Google hat den GCM-Server und die Client-APIs am 29. Mai 2019 entfernt.

Wichtige Anforderungen:

  • Führen Sie ein Upgrade auf die aktuelle Version von XenMobile Server durch.
  • Führen Sie ein Upgrade auf die aktuelle Version von Secure Hub durch.

Google empfiehlt, sofort ein Upgrade auf Firebase Cloud Messaging (FCM) durchzuführen, um die neuen Funktionen von FCM zu nutzen. Informationen von Google finden Sie unter https://developers.google.com/cloud-messaging/faq und https://firebase.googleblog.com/2018/04/time-to-upgrade-from-gcm-to-fcm.html.

Um weiterhin Pushbenachrichtigungen an Ihre Android-Geräte zu unterstützen: Wenn Sie GCM mit XenMobile Server verwenden, migrieren Sie zu FCM. Aktualisieren Sie dann XenMobile Server mit dem neuen FCM-Schlüssel, den Sie in der Firebase Cloud Messaging Console finden.

Die folgenden Schritte zeigen den Registrierungsworkflow bei Verwendung vertrauenswürdiger Zertifikate.

Upgradeschritte:

  1. Folgen Sie für das Upgrade von GCM auf FCM den Informationen von Google.
  2. Kopieren Sie in der Firebase Cloud Messaging Console Ihren neuen FCM-Schlüssel. Sie brauchen ihn für den nächsten Schritt.
  3. Gehen Sie in der XenMobile Server-Konsole zu Einstellungen > Firebase Cloud Messaging und konfigurieren Sie Ihre Einstellungen.

Geräte wechseln zu FCM, wenn sie das nächste Mal bei XenMobile Server einchecken und eine Richtlinienaktualisierung durchführen. Aktualisieren der Richtlinien in Secure Hub erzwingen: Gehen Sie in Secure Hub zu Einstellungen > Geräteinformationen und tippen Sie auf Richtlinie aktualisieren. Weitere Informationen über die FCM-Konfiguration finden Sie unter Firebase Cloud Messaging.

XenMobile Migration Service

Wenn Sie die On-Premises-Version von XenMobile Server verwenden, hilft Ihnen unser XenMobile Migration Service beim Start in Endpoint Management. Die Migration von XenMobile Server zu Citrix Endpoint Management erfordert keine erneute Registrierung von Geräten.

Weitere Informationen erhalten Sie bei Ihrem lokalen Citrix Vertriebsmitarbeiter, Systems Engineer oder Citrix Partner. In diesen Blogs wird der XenMobile Migration Service erläutert:

New XenMobile Migration Service

Making the Case for XenMobile in the Cloud

Vor dem Upgrade auf XenMobile 10.11 (on-premises)

Einige Systemanforderungen haben sich geändert. Weitere Informationen, siehe Systemanforderungen und Kompatibilität und XenMobile-Kompatibilität.

  1. Aktualisieren Sie den Citrix Lizenzserver auf 11.15.x oder höher, bevor Sie die aktuelle Version von XenMobile Server 10.11 installieren.

    Die neueste Version von XenMobile erfordert Citrix License Server 11.15 (Mindestversion).

    Hinweis:

    Wenn Sie Ihre eigene Lizenz für die Preview verwenden möchten, berücksichtigen Sie, dass das Customer Success Services-Datum (bisher “Subscription Advantage”-Datum) in XenMobile 10.11 der 9. April 2019 ist. Das Customer Success Services-Datum der Citrix Lizenz muss nach diesem Datum liegen.

    Das Datum wird neben der Lizenz auf dem Lizenzserver angezeigt. Wenn Sie die aktuelle Version von XenMobile mit einer älteren Lizenzserverumgebung verbinden, schlägt die Konnektivitätsprüfung fehl und der Lizenzserver kann nicht konfiguriert werden.

    Zum Verlängern des Datums für Ihre Lizenz laden Sie die aktuelle Lizenzdatei vom Citrix Portal herunter und laden Sie sie in den Lizenzserver hoch. Weitere Informationen finden Sie unter Customer Success Services.

  2. Clusterumgebungen: Für die Bereitstellung von iOS-Richtlinien und -Apps auf Geräten mit iOS 11 oder später gilt folgende Anforderung. Ist NetScaler Gateway für SSL-Persistenz konfiguriert, müssen Sie auf allen XenMobile Server-Knoten Port 80 öffnen.

  3. Wenn die virtuelle Maschine, auf der die zu aktualisierende XenMobile Server-Instanz ausgeführt wird, weniger als 4 GB RAM hat, erhöhen Sie den RAM auf mindestens 4 GB. Beachten Sie, dass der empfohlene Mindest-RAM für Produktionsumgebungen bei 8 GB liegt.

  4. Empfehlung: Vor der Installation eines XenMobile-Updates verwenden Sie die Funktionen der virtuellen Maschine zum Erstellen eines Systemsnapshots. Sichern Sie außerdem die Konfigurationsdatenbank des Systems. Sollten bei einem Upgrade Probleme auftreten, können Sie mit vollständigen Backups eine Wiederherstellung vornehmen.

Ausführen des Upgrades

Sie können ein direktes Upgrade auf XenMobile 10.11 von XenMobile 10.10.x oder 10.9.x ausführen. Verwenden Sie für das Upgrade die aktuelle Binärdatei für Version 10.11 von der Citrix Download. Verwenden Sie zum Hochladen des Upgrades die Seite Releasemanagement der XenMobile-Konsole. Weitere Informationen finden Sie unter Upgrade über die Seite “Releasemanagement”.

Nach dem Upgrade

Nach dem Upgrade auf XenMobile 10.11 (on-premises):

Wenn Funktionen, für die ausgehende Verbindungen eingesetzt werden, nicht mehr funktionieren und Sie die Verbindungskonfiguration nicht geändert haben, überprüfen Sie das XenMobile Server-Protokoll auf Fehlermeldungen wie etwa “Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer.”

Ein Fehler bei der Zertifikatvalidierung bedeutet, dass Sie die Hostnamenüberprüfung unter XenMobile Server deaktivieren müssen. In der Standardeinstellung ist die Hostnamenüberprüfung für ausgehende Verbindungen mit Ausnahme des Microsoft PKI-Servers aktiviert. Wenn die Hostnamenüberprüfung Fehler in der Bereitstellung verursacht, ändern Sie die Servereigenschaft disable.hostname.verification in true. Der Standardwert dieser Eigenschaft ist false.

Neue und aktualisierte Geräterichtlinieneinstellungen für Android Enterprise-Geräte

Vereinheitlichte Richtlinien für Samsung Knox und Android Enterprise. Für Android Enterprise-Geräte auf Samsung Knox 3.0 oder höher und Android 8.0 oder höher: Knox und Android Enterprise werden in einer einheitlichen Geräte- und Profilverwaltungslösung zusammengefasst. Konfigurieren Sie Knox-Einstellungen auf der Seite “Android Enterprise” der folgenden Geräterichtlinien:

Android Enterprise-Einschränkungsrichtlinie

App-Bestandsrichtlinie für Android Enterprise. Sie können jetzt einen Bestand der Android Enterprise-Apps auf verwalteten Geräten abrufen. Siehe App-Bestandsrichtlinie für Geräte.

Greifen Sie auf alle Google Play-Apps im verwalteten Google Play Store zu. Mit der Servereigenschaft für Zugriff auf alle Apps im verwalteten Google Play Store werden alle Apps aus dem öffentlichen Google Play Store vom verwalteten Google Play Store aus zugänglich gemacht. Wenn Sie diese Eigenschaft auf Wahr setzen, werden die Apps aus dem öffentlichen Google Play Store für alle Android Enterprise-Benutzer auf die Positivliste gesetzt. Administratoren können dann mit Geräteeinschränkungsrichtlinie den Zugriff auf diese Apps steuern.

Aktivieren von System-Apps auf Android Enterprise-Geräten. Damit Benutzer vorinstallierte System-Apps im Android Enterprise-Arbeitsprofilmodus oder vollständig verwalteten Modus ausführen können, konfigurieren Sie Geräteeinschränkungsrichtlinie. Diese Konfiguration gewährt dem Benutzer Zugriff auf Standardgeräte-Apps wie Kamera, Galerie und andere. Um den Zugriff auf eine bestimmte App zu beschränken, legen Sie App-Berechtigungen fest mit Android Enterprise-Berechtigungsrichtlinie.

Aktivieren von System-Apps

Unterstützung für dedizierte Geräte mit Android Enterprise XenMobile unterstützt jetzt die Verwaltung dedizierter Geräte (bisher “COSU”-Geräte).

Dedizierte Android Enterprise-Geräte sind vollständig verwaltete Einzweckgeräte. Diese Geräte beschränken Sie auf eine oder wenige Apps, die zum Ausführen der für den vorgegebenen Zweck erforderlichen Aufgaben notwendig sind. Außerdem verhindern Sie, dass Benutzer weitere Apps aktivieren oder andere Aktionen auf dem Gerät ausführen.

Informationen zur Bereitstellung von Android Enterprise-Geräten finden Sie unter Provisioning von dedizierten Geräten mit Android Enterprise.

Richtlinie umbenannt. Die Android Enterprise App-Einschränkungsrichtlinie wurde entsprechend geänderter Google-Terminologie in “verwaltete Android Enterprise-Konfigurationen” umbenannt. Siehe Geräterichtlinie für verwaltete Android Enterprise-Konfigurationen.

Sperren und Kennwort zurücksetzen für Android Enterprise

XenMobile unterstützt jetzt die Sicherheitsaktion “Sperren und Kennwort zurücksetzen” für Android Enterprise-Geräte. Die Geräte müssen im Arbeitsprofilmodus registriert sein und Android 8.0 oder höher ausführen.

  • Der gesendete Passcode sperrt das Arbeitsprofil. Das Gerät wird nicht gesperrt.
  • Wird kein Passcode gesendet oder der gesendete Code erfüllt nicht die Passcode-Anforderungen:
    • Und es ist noch kein Passcode im Arbeitsprofil festgelegt, wird das Gerät gesperrt.
    • Und es ist bereits ein Passcode im Arbeitsprofil festgelegt, wird das Arbeitsprofil gesperrt, nicht aber das Gerät.

Weitere Informationen zu den Sicherheitsaktionen für “Sperren und Kennwort zurücksetzen” finden Sie unter Sicherheitsaktionen.

Neue Richtlinieneinstellungen zu Geräteeinschränkungen für iOS oder macOS

  • Nicht verwaltete Apps lesen verwaltete Kontakte: Optional. Nur verfügbar, wenn Dokumente von verwalteten Apps in nicht verwalteten Apps deaktiviert ist. Wenn diese Richtlinie aktiviert ist, können nicht verwaltete Apps Daten aus den Kontakten verwalteter Konten lesen. Die Standardeinstellung ist Aus. Verfügbar ab iOS 12.
  • Verwaltete Apps schreiben nicht verwaltete Kontakte: Optional. Wenn diese Option aktiviert ist, dürfen verwaltete Apps Kontakte in Kontakte nicht verwalteter Konten schreiben. Wenn Dokumente von verwalteten Apps in nicht verwalteten Apps aktiviert ist, hat diese Einschränkung keine Auswirkungen. Die Standardeinstellung ist Aus. Verfügbar ab iOS 12.
  • Kennwörter autom. ausfüllen: Optional. Wenn diese Option deaktiviert ist, können Benutzer die Funktionen zum automatischen Ausfüllen von Kennwörtern oder zum automatischen Erstellen starker Kennwörter nicht verwenden. Die Standardeinstellung ist Ein. Verfügbar ab iOS 12 und macOS 10.14.
  • Kennwortanforderung bei Geräten in der Nähe: Optional. Wenn die Option deaktiviert ist, fordern Benutzergeräte keine Kennwörter von Geräten in der Nähe an. Die Standardeinstellung ist Ein. Verfügbar ab iOS 12 und macOS 10.14.
  • Kennwort teilen: Optional. Wenn diese Option deaktiviert ist, können Benutzer ihre Kennwörter nicht per AirDrop teilen. Die Standardeinstellung ist Ein. Verfügbar ab iOS 12 und macOS 10.14.
  • Automatisches Datum und Uhrzeit erzwingen: betreut. Wenn diese Option aktiviert ist, können die Benutzer die Option Allgemein > Datum & Uhrzeit > Automatisch einstellen nicht deaktivieren. Die Standardeinstellung ist Aus. Verfügbar ab iOS 12.
  • Eingeschränkten USB-Modus zulassen: nur für betreute Geräte verfügbar. Mit “Ein” kann das Gerät immer mit USB-Zubehör verbunden werden, solange es gesperrt ist. Die Standardeinstellung ist Ein. Verfügbar ab iOS 11.3.
  • Verzögerte Softwareupdates erzwingen: nur für betreute Geräte verfügbar. Wenn diese Option auf Ein gesetzt, wird die Sichtbarkeit von Softwareupdates für die Benutzer verzögert. Der Benutzer sieht ein Softwareupdate erst, nachdem die festgelegte Anzahl von Tagen seit Veröffentlichung des Softwareupdates verstrichen ist. Die Standardeinstellung ist Aus. Verfügbar ab iOS 11.3 und macOS 10.13.4.
  • Erzwungene Verzögerung für Softwareupdate (Tage): nur für betreute Geräte verfügbar. Diese Einschränkung ermöglicht es dem Administrator festzulegen, für wie lange das Softwareupdate auf dem Gerät verzögert wird. Der Maximalwert beträgt 90 Tage und der Standardwert ist 30. Verfügbar ab iOS 11.3 und macOS 10.13.4.
  • Um Erlaubnis zum Verlassen von Klassen fragen: nur für betreute Geräte verfügbar. Mit Ein müssen Teilnehmer, die in einem nicht verwalteten Kurs mit Classroom registriert sind, zum Verlassen des Kurses eine Genehmigung von der Lehrkraft anfordern. Die Standardeinstellung ist Aus. Verfügbar ab iOS 11.3.

Einstellungen der Einschränkungsrichtlinie

Siehe Geräteeinschränkungsrichtlinie.

Aktualisierung der Exchange-Geräterichtlinie für iOS bzw. macOS

Zusätzliche S/MIME-Exchange-Signatur- und Verschlüsselungseinstellungen ab iOS 12. Die Exchange-Geräterichtlinie enthält jetzt Einstellungen zum Konfigurieren von S/MIME-Signatur und -verschlüsselung.

S/MIME-Signatur:

  • Anmeldeinformationen für Signieridentität: Wählen Sie die Anmeldeinformationen für die Signatur aus.
  • S/MIME-Signatur von Benutzer überschreibbar: Wenn Sie Ein wählen, können Benutzer die S/MIME-Signierung in Einstellungen des Geräte aktivieren und deaktivieren. Der Standardwert ist Aus.
  • UUID für S/MIME-Signaturzertifikat von Benutzer überschreibbar: Mit Ein können Benutzer in den Einstellungen ihrer Geräte wählen, welche Anmeldeinformationen für die Signatur verwendet werden. Der Standardwert ist Aus.

S/MIME-Verschlüsselung:

  • Anmeldeinformationen für Verschlüsselungsidentität: Wählen Sie die Anmeldeinformationen für die Verschlüsselung aus.
  • S/MIME-Option für einzelne Nachrichten aktivieren: Mit Ein wird Benutzern für jede Nachricht, die sie erstellen, eine Option zum Aktivieren oder Deaktivieren der S/MIME-Verschlüsselung angezeigt. Der Standardwert ist Aus.
  • Standardmäßige S/MIME-Verschlüsselung von Benutzer überschreibbar: Mit Ein können Benutzer in den Einstellungen ihrer Geräte auswählen, ob S/MIME standardmäßig aktiviert ist. Der Standardwert ist Aus.
  • UUID für S/MIME-Verschlüsselungszertifikat von Benutzer überschreibbar: Wenn Sie Ein wählen, können Benutzer die S/MIME-Verschlüsselungsidentität und Verschlüsselung in den Einstellungen des Geräte aktivieren und deaktivieren. Der Standardwert ist Aus.

Exchange-OAuth-Einstellungen ab iOS 12. Sie können die Verbindung mit Exchange so konfigurieren, dass OAuth für die Authentifizierung verwendet wird.

Exchange OAuth-Einstellungen ab macOS 10.14. Sie können die Verbindung mit Exchange so konfigurieren, dass OAuth für die Authentifizierung verwendet wird. Für die OAuth-Authentifizierung können Sie die Anmelde-URL für Umgebungen ohne automatische Erkennung angeben.

Siehe Exchange-Geräterichtlinie.

Aktualisierung der E-Mail-Geräterichtlinie für iOS

Zusätzliche S/MIME-Exchange-Signatur- und Verschlüsselungseinstellungen ab iOS 12. Die E-Mail-Geräterichtlinie enthält Einstellungen zum Konfigurieren von S/MIME-Signatur und -verschlüsselung.

S/MIME-Signatur:

  • S/MIME-Signatur aktivieren: Wählen Sie, ob dieses Konto S/MIME-Signaturen unterstützt. Der Standardwert ist Ein. Wenn Sie Ein wählen, werden folgende Felder eingeblendet.
    • S/MIME-Signatur von Benutzer überschreibbar: Wenn Sie Ein wählen, können Benutzer die S/MIME-Signierung in Einstellungen des Geräte aktivieren und deaktivieren. Der Standardwert ist Aus. Diese Option gilt für iOS 12.0 und höher.
    • UUID für S/MIME-Signaturzertifikat von Benutzer überschreibbar: Mit Ein können Benutzer in den Einstellungen ihrer Geräte wählen, welche Anmeldeinformationen für die Signatur verwendet werden. Der Standardwert ist Aus. Diese Option gilt für iOS 12.0 und höher.

S/MIME-Verschlüsselung:

  • S/MIME-Verschlüsselung aktivieren: Wählen Sie, ob dieses Konto S/MIME-Verschlüsselung unterstützt. Der Standardwert ist Aus. Wenn Sie Ein wählen, werden folgende Felder eingeblendet.
    • S/MIME-Option für einzelne Nachrichten aktivieren: Mit Ein wird Benutzern für jede Nachricht, die sie erstellen, eine Option zum Aktivieren oder Deaktivieren der S/MIME-Verschlüsselung angezeigt. Der Standardwert ist Aus.
    • Standardmäßige S/MIME-Verschlüsselung von Benutzer überschreibbar: Mit Ein können Benutzer in den Einstellungen ihrer Geräte auswählen, ob S/MIME standardmäßig aktiviert ist. Der Standardwert ist Aus. Diese Option gilt für iOS 12.0 und höher.
    • UUID für S/MIME-Verschlüsselungszertifikat von Benutzer überschreibbar: Wenn Sie Ein wählen, können Benutzer die S/MIME-Verschlüsselungsidentität und Verschlüsselung in den Einstellungen des Geräte aktivieren und deaktivieren. Der Standardwert ist Aus. Diese Option gilt für iOS 12.0 und höher.

Siehe E-Mail-Geräterichtlinie.

Geräterichtlinie für App-Benachrichtigungen für iOS

Für die Geräterichtlinie für App-Benachrichtigungen sind die folgenden Einstellungen ab iOS 12 verfügbar.

  • In CarPlay anzeigen: Wählen Sie Ein, damit Benachrichtigungen in Apple CarPlay angezeigt werden. Die Standardeinstellung ist Ein.
  • Kritische Warnung aktivieren: Bei der Einstellung Ein kann eine App eine Benachrichtigung als kritische Benachrichtigung markieren, die die Einstellungen für “Nicht stören” und “Klingel” ignoriert. Die Standardeinstellung ist Aus.

Siehe Geräterichtlinie für App-Benachrichtigungen

Unterstützung für geteilte iPads mit Apple Education

Die XenMobile-Integration mit Apple Education unterstützt jetzt geteilte iPads. Mehrere Schüler in einem Klassenzimmer können ein iPad für verschiedene Fächer teilen, die von einem oder mehreren Lehrern unterrichtet werden.

Sie oder die Lehrkräfte registrieren geteilte iPads und stellen dann Geräterichtlinien, Apps und Medien auf den Geräten bereit. Die Teilnehmer geben dann ihre Apple ID-Anmeldeinformationen an, um sich bei dem geteilten iPad anzumelden. Wenn Sie zuvor eine Richtlinie “Bildungseinrichtung - Konfiguration” für Lernende bereitgestellt haben, melden diese sich nicht mehr als “Anderer Benutzer” an, um Geräte gemeinsam zu nutzen.

Voraussetzungen für geteilte iPads

  • Beliebiges iPad Pro, iPad 5. Generation, iPad Air 2 oder später und iPad mini 4 oder später
  • Mindestens 32 GB Speicherplatz
  • Betreut

Weitere Informationen finden Sie unter Konfigurieren von geteilten iPads.

Änderung bezüglich RBAC-Berechtigungen

Die RBAC-Berechtigung “Lokale Benutzer hinzufügen/löschen” wird jetzt in zwei Berechtigungen unterteilt: “Lokale Benutzer hinzufügen” und “Lokale Benutzer löschen”.

Weitere Informationen finden Sie unter Konfigurieren von Rollen mit RBAC.